P3P网络隐私保护技术概述.doc

P3P网络隐私保护技术概述1.1网络隐私权1.1.1 隐私权自1890年美国两位法学家路易斯布兰蒂斯和萨莫尔华轮提出隐私权这个概念以后，隐私权已被国际社会和各国宪法、法律广泛承认，并作为公民的基本权利予以保护。隐私权是指公民享有的私人生活安宁与私人信息依法受到保护，不被他人非法侵扰、知悉、搜集、利用和公开等的一种人格权利。1.1.2 网络隐私权是隐私权在网络环境下的延伸。广义上讲应该是保护网络隐私不受侵害、不被公开、不被利用的权利。其内涵包括：第一是网络隐私有不被他人了解的权利;第二是自己的信息由自己控制;第三是个人数据如有错误，拥有修改的权利。简单的说：网络隐私权，是指网络上未明确声明允许公开的所有的有关个人的信息和数据，不被非法收集、公开、侵犯和利用的权利。1.2P3P技术概述P3P (Platform for Privacy Preference Project)即隐私偏好设定平台，由万维网联盟在2002年4月开发完成。P3P为隐私策略提供了一个标准的可机读格式，以及一个能使Web浏览器自动读取和处理隐私策略的协议1。也就是说，P3P使Web站点能够以一种标准的、机器可读的XML格式来描述它们的隐私政策，包括描述隐私信息收集、存储和使用的词汇的语法和语义。这样，互联网用户就可以根据自己的需要用APPEL (A P3P Preference Exchange Language )来对经常访问的Web站点设置隐私偏好参数，而不必耗费大量的时间去阅读又长又难以理解的Web站点隐私策略，也不必领会如何请求Web站点以有限的方式使用用户的个人信息。基于用户设置的隐私偏好参数，用户代理可以自动或半自动的决定是否接受Web站点的隐私政策。P3P的制定者万维网联盟把P3P作为Web站点与它们的隐私策略相联系的标准方法。P3P可以启用可机读的隐私策略，而该隐私策略可以由Web浏览器和那些能显示符号、提示用户或采取其他适当行动的用户代理工具来自动获取2。其中的一些工具也可以将各个隐私策略与用户设置的隐私偏好相比较，并帮助用户决定何时与Web站点交换个人数据。可见，P3P方案可使互联网用户更好的理解Web站点的隐私声明，使用户在访问站点时能够知悉Web站点是如何收集和利用个人信息的。1.3P3P指导准则设立P3P指导准则(P3P Guiding Principles)的目的在于：表达P3F工作组设计该项技术的意图，建议人们如何更有效的使用P3P来使自己的隐私程度最大化以及使互联网用户对Web服务的信心和信任度最大化。P3P指导准则包括以下五方面的内容：1.3.1 信息隐私P3P是用来提升互联网的隐私程度和信任度的。在这一提升过程中，P3P赋予Web服务提供商公开他们的信息处理方式的能力，同时也赋予互联网用户有权做出接受有关个人信息收集与个人信息使用的正式决定3。P3P用户代理将代表用户个人来达成与Web服务提供商之间的有关个人信息收集和使用的协定。双方的信任建立在隐私协议达成的相互理解的共识上。Web服务提供商应该通过对其信息业务应用相关的法律和关于数据保护和信息处理方式的准则来保持信任和保护隐私。此外，Web服务提供商和P3P实现者还应该对儿童隐私予以足够的重视和特别关注。1.3.2 告示与通信Web服务提供商应对其信息业务提供及时有效的告示，用户代理则应为互联网用户提供读取这些告示并基于告示做出决定的有效工具。对Web服务提供商的要求包括：1、精确表述对个人数据的收集和使用，精确表达所收集到的个人数据的用途以及共享范围;2、使用P3P隐私策略来表述有关他们打算通过网络交互收集的所有个人信息;3、明确公布一个清晰的、互联网用户可阅读的隐私策略。对用户代理的要求包括：1、向互联网用户提供显示服务信息的机制;2、为互联网用户提供一个可以允许他们轻松表达查看、赞同或拒绝传输个人信息的选择(用户代理将促成这些用户个人信息的提交);3、默认设置不能被设置成不经互联网用户同意就能擅自将个人信息传送给Web服务提供商;4、通知互联网用户有关由用户代理所提供的、与隐私相关的选项。1.3.3 选择与控制互联网用户应被赋予可明确的选择有关收集、使用和公开其个人信息的能力。用户应保留对其个人信息的控制，并能决定其个人信息共享的条件。对Web服务提供商的要求包括：1、通过限制对个人信息的请求来达到互联网用户所期望的服务水平。虽然这样多少会挫伤用户的积极性，但却可以增加用户的信任度，并使他们可以与众多的用户联系，这些众多的用户包括了那些希望与该服务之间有匿名、假名、自定义或个性化联系的人;2、在收集和使用个人信息之前，须征得个体的正式许可;3、为互联网用户提供查看其个人信息的能力，并告诉他们是否正确更正了其个人信息。对用户代理的要求包括：1、有使互联网用户可自定义其隐私偏好的配置工具;2、允许互联网用户从可信任方处导入和自定义P3P偏好;3、以一种中立或偏向于个人隐私的立场为互联网用户提供配置选项;4、在不要求互联网用户将其个人信息储存为安装或配置进程的一部分的情况下可用。1.3.4 公平与诚信Web服务提供商应以一种公平诚信的态度对待互联网用户及其个人信息，这是保护个人在线隐私和提升信任的基本保障。对Web服务提供商的要求包括：1、以清晰明确的方式精确陈述其对个人信息的处理方式，不得有任何误导互联网用户的企图;2、仅将互联网用户的个人信息用作声明的用途，并且只作按需保留;3、确保信息是精确的、完整的、最新的;4、公开索赔权的义务和方式;5、在互联网用户个人信息保留的期间，必须根据在个人信息收集时的有效隐私策略来处理信息，除非用户已经做出了接受新隐私策略的正式许可。对用户代理的要求：1、根据互联网用户设定的个人隐私偏好，仅代表用户的利益行事;2、精确表述Web服务提供商的隐私处理方式。1.4P3P的工作流程得到P3P软件的互联网用户可以将他的个人隐私偏好设定在该软件的选项中。隐私偏好可设定为：当任何Web站点收集或贩卖个人在线信息的时候，禁止进入该站点或者提醒该用户。隐私偏好一旦设定，P3P软件将同用户的Web浏览器程序一同运行。每一个受访的Web站点都会发送XML形式的P3P策略文件到用户的电脑中，如果该Web站点的个人信息收集和处理行为同用户在P3P软件中设定的隐私偏好相符的话，那么关于隐私的协定就可以自动的缔结，用户也可以毫无阻碍的浏览该站点4;如果该Web站点的